○安平町教育活動における情報セキュリティ対策実施要綱
令和3年3月24日
安平町教育委員会訓令第2号
目次
第1章 総則(第1条・第2条)
第2章 管理体制(第3条―第8条)
第3章 情報の分類及び管理(第9条・第10条)
第4章 人的セキュリティ
第1節 職員等の役割及び責任(第11条―第20条)
第2節 情報セキュリティに関する啓発及び周知(第21条・第22条)
第5章 物理的セキュリティ
第1節 執務室(第23条)
第2節 管理区域(第24条)
第3節 機器に対する管理策(第25条―第27条)
第4節 媒体の取扱い及び管理(第28条―第31条)
第6章 技術的対策及び運用管理
第1節 サーバ等に関する情報セキュリティ対策(第32条―第39条)
第2節 端末に関する情報セキュリティ対策(第40条)
第3節 ネットワークに関する情報セキュリティ対策(第41条―第46条)
第4節 コンピュータウイルス対策(第47条)
第7章 情報システムの開発、導入及び保守(第48条―第52条)
第8章 外部委託(第53条・第54条)
第9章 情報セキュリティに関する事案への対応
第1節 情報セキュリティに関する情報の収集(第55条)
第2節 情報セキュリティに関する事案への対応(第56条・第57条)
第10章 評価及び見直し(第58条―第60条)
第11章 雑則(第61条)
附則
第1章 総則
(趣旨)
第1条 この要綱は、安平町教育活動における情報セキュリティに関する規則(令和3年安平町教育委員会規則第3号。以下「規則」という。)第6条の規定に基づき、安平町の教育活動における情報セキュリティ対策を実施するために必要となる統一的な基準を定めるものとする。
(定義)
第2条 この要綱において使用する用語は、規則において使用する用語の例による。
(1) サーバ等 教育委員会等の情報資産のうち、サービスを提供するコンピュータ及びホストコンピュータをいう。
(2) 端末 教育委員会等の情報資産のうち、サーバ等からのサービスの提供を受けるコンピュータをいう。
(3) 管理者権限 情報システムを管理するために必要なアクセス権限をいう。
(4) LAN 同じ建物の中にあるコンピュータやプリンタなどを接続し、情報をやり取りするネットワークをいう。
(5) パスワード 利用者を認証するための符号をいう。
(6) アクセス (情報資産を)利用することをいう。
(7) プログラム 電子計算機を動かすための手順を記述した命令のまとまりをいう。
(8) コンピュータウイルス 第三者のプログラムやデータベースに対して意図的に何らかの被害を及ぼすように作られたプログラムであり、自己伝染機能、潜伏機能、発病機能のいずれか1つ以上を有するものをいう。
(9) ソフトウエア プログラム、情報等の総称をいう。
(10) データ 電磁的記録をいう。
(11) 機器 コンピュータ、端末機、通信関係装置、ネットワーク機器、プリンタ等をいう。
(12) パターンファイル 過去に発見されたコンピュータウイルスの情報がまとめられているコンピュータウイルス対策ソフトがコンピュータウイルスを検索又は駆除するための参考とするファイルをいう。
第2章 管理体制
(最高情報統括責任者)
第3条 町に最高情報統括責任者を置く。
2 最高情報統括責任者は、副町長をもって充てる。
3 最高情報統括責任者は、教育委員会等におけるすべてのネットワーク、情報システム及び情報資産を統括する最高責任者とする。
(情報ネットワーク管理者)
第4条 教育委員会等に情報ネットワーク管理者を置く。
2 情報ネットワーク管理者は、教育次長又は参事をもって充てる。
3 情報ネットワーク管理者は、セキュリティ対策に関して最高情報統括責任者を補佐するとともに、最高情報統括責任者のもと情報セキュリティ管理者を統括し、情報セキュリティ対策に関する連絡及び調整を行い、かつ、所管する情報システムにおける開発、設定の変更、運用、更新等を行う権限及び責任を有する。
4 情報ネットワーク管理者は、校内LANにおける総合的な管理を行うものとする。
5 情報ネットワーク管理者は、情報セキュリティ管理者及び情報ネットワーク担当者に対して情報セキュリティに関する助言及び指導を行う権限を有する。
6 情報ネットワーク管理者は、最高情報統括責任者が不在の場合は、その職務を代理する。
(情報セキュリティ管理者)
第5条 教育委員会等に情報セキュリティ管理者を置く。
2 情報セキュリティ管理者は、教育次長又は参事及び各校の学校長の職にある者をもって充てる。
3 情報セキュリティ管理者は、所管組織における情報セキュリティに関する権限及び責任を有する。
4 情報セキュリティ管理者は、この要綱の遵守に当たり、不明な点及び遵守困難な点に関して、適宜、情報ネットワーク管理者の指示を仰ぐものとする。
5 情報セキュリティ管理者は、教育委員会等における情報資産に対する侵害又は侵害のおそれのある場合には、情報ネットワーク管理者へ速やかに報告を行い、指示を仰ぐとともに、併せて最高情報統括責任者にも当該内容を報告しなければならない。
6 情報セキュリティ管理者は、所管する情報システムごとに情報セキュリティ対策の具体的な手順等を明記した安平町教育活動における情報セキュリティ対策実施手順(以下「実施手順」という。)を必要に応じて策定するものとする。
(情報ネットワーク担当者)
第6条 教育委員会等に情報ネットワーク担当者を置く。
2 情報ネットワーク担当者は、各情報セキュリティ管理者の所管組織の職員をもって充てる。
3 情報ネットワーク担当者は、情報ネットワーク管理者及び情報セキュリティ管理者を補佐するとともに、情報ネットワーク管理者及び情報セキュリティ管理者のもと職員に対して、技術的な分野に関する助言及び指導を行うものとする。
(システム管理担当者)
第7条 情報セキュリティ管理者は、所管組織に情報システムを有する場合には、その運用及び管理を行うシステム管理担当者を指名し、情報システムを適切に管理しなければならない。
2 システム管理担当者は、担当する情報システムに関する開発、運用、保守等について情報セキュリティ管理者の許可を得たうえで、具体的な作業を行うものとする。
(総合的な推進及び調整に係る組織)
第8条 教育委員会等における情報セキュリティ対策の総合的な推進及び調整は、情報セキュリティ会議が行う。
2 情報セキュリティ会議は、最高情報統括責任者が招集し、議長を務める。
3 情報セキュリティ会議は、最高情報統括責任者、情報ネットワーク管理者、情報セキュリティ管理者及び情報ネットワーク担当者をもって組織する。
4 情報セキュリティ会議は、次に掲げる事項を所掌する。
(1) 情報セキュリティに関する組織横断的な調整に関する事項
(2) 規則及びこの要綱の遵守状況に関する事項
(3) その他情報セキュリティに係る重要事項に関する事項
第3章 情報の分類及び管理
(情報の分類)
第9条 教育委員会等は、すべての情報を適切に取り扱い、かつ、保護するために次に掲げる重要性分類に基づき分類しなければならない。ただし、情報システムで扱う情報について、第三者が重要性の識別を容易に認識できないように留意しなければならない。
(1) 重要性分類A 個人情報及び業務上特に高度の秘密に属する情報
(2) 重要性分類B 対外的に秘密保持を要する情報
(3) 重要性分類C 前2号に掲げる情報以外の情報
2 前項の情報の重要性分類の指定は、情報セキュリティ管理者が行う。
(情報の管理)
第10条 情報セキュリティ管理者は、所管する情報を前条第1項の分類に従い、責任をもって適正に管理しなければならない。
2 職員等は、取り扱う情報を前条第1項の分類に従い、責任をもって適正に利用しなければならない。
3 職員等は、重要情報(重要性分類A及び重要性分類Bに該当する情報をいう。以下同じ。)を外部へ送付又は持ち出しをしてはならない。ただし、情報セキュリティ管理者が業務上特に必要と認めた場合は、この限りでない。
4 情報セキュリティ管理者は、所管する重要情報を外部へ送付又は持ち出しする場合は、複製の禁止を指示しなければならない。
5 情報セキュリティ管理者は、所管する重要情報が複製された場合には、当該情報の所在を明確にしておかなければならない。
第4章 人的セキュリティ
第1節 職員等の役割及び責任
(職員等の役割及び責任)
第11条 職員等は、情報セキュリティ対策の実施に当たり、次に掲げる役割及び責任を有する。
(1) 規則、この要綱及び実施手順に定められている事項を遵守すること。
(2) 規則、この要綱及び実施手順について不明な点及び遵守することが困難な点がある場合は、速やかに情報セキュリティ管理者に報告し、指示等を仰ぐこと。
(3) 使用する端末や記録媒体について、第三者に使用されること又は許可なく情報を閲覧されることがないように適切な措置を施すこと。
(4) 情報システムを業務目的以外に使用しないこと。
(5) 不適切な情報の発信、他人の利用者ID又はパスワードを使う等利用を許可されていないサーバ等へのアクセス等自らが加害者になる行為を行わないこと。
(6) 校内LAN又は情報システムに有害なプログラムを使用し、又は提供する等、校内LAN、情報システム若しくは他の職員等に損害を与え、又は与えるおそれのある行為を行わないこと。
(7) 個人のプライバシーを侵害する行為を行わないこと。
(8) 個人をひぼうし、中傷し、若しくは名誉を傷つけ、又は公序良俗に反する行為を行わないこと。
(法令等の遵守)
第12条 職員等は、情報資産の使用において、関係法令及び使用するソフトウェアの使用許諾契約を遵守しなければならない。
(パスワードの管理)
第13条 職員等は、自己の保有するパスワード(以下「パスワード」という。)を他の者に不正に使用されないよう、次に掲げる項目を遵守し、厳重に管理しなければならない。
(1) パスワードを秘密にしておくこと。
(2) パスワードのメモを作成した場合は、端末にはり付けない、机上に放置しない等他の者の目に触れることがないよう適切に管理すること。
(3) パスワードは、十分な長さを保つこと。
(4) パスワードの設定には、生年月日等推測されやすいものを使用しないこと。
(5) パスワードは、定期的に変更するようにすること(職員等がパスワードを変更できない情報システムを除く。)。また、古いパスワードは、再び使用しないこと。
(6) 重要情報を扱うことのできるパスワードは、共有しないこと。
(7) 端末にパスワードを記憶させないこと。
(認証に用いるカード等の管理)
第14条 職員等は、個人認証又は所属認証に用いるカード等を利用する場合は、次に掲げる項目を遵守し、厳重に管理しなければならない。
(1) 個人認証又は所属認証に用いるカード等を貸与しないこと。
(2) 所属認証に用いるカード等は、情報セキュリティ管理者の許可を得て使用すること。
(3) 個人認証又は所属認証に用いるカード等は、カードリーダ又は端末のスロット等に常時挿入しないこと。
(4) 個人認証又は所属認証に用いるカード等を紛失若しくは損傷した場合又は盗難、詐取等(以下「紛失等」という。)にあった場合は、直ちに情報ネットワーク管理者及び情報セキュリティ管理者に報告すること。
2 情報セキュリティ管理者は、紛失等の報告を受けたときは、直ちに該当するカード等の利用を無効とする措置を講じなければならない。
(個人所有機器の使用禁止)
第15条 職員等は、重要情報の漏えい、コンピュータウイルスの感染等を防止するため、個人が所有する端末を持ち込み、業務に使用してはならない。
2 情報ネットワーク管理者及び職員等は、前項の規定にかかわらず、業務上特別の理由がある場合には、情報の漏えい、コンピュータウイルスの感染等を防止するための措置を講じて、情報セキュリティ管理者の許可を得て端末を持ち込み、業務に使用することができる。ただし、校内LANに接続してはならない。
(端末の使用)
第16条 職員等は、使用を許可された端末を最大の注意義務をもって使用しなければならない。
(業務に利用するソフトウェア)
第17条 職員等は、端末の誤動作、コンピュータウイルスの感染等を防止するため、定められたソフトウェア以外のソフトウェアを端末に導入してはならない。
2 職員等は、前項の規定にかかわらず、情報セキュリティ管理者が業務上特に必要と認める場合は、定められたソフトウェア以外のソフトウェアを端末に導入することができる。
(端末環境の変更)
第18条 職員等は、端末の誤動作、保守の困難化等を防止するため、端末に対し、設定の変更、端末の改造及び周辺機器の増設を行ってはならない。
2 職員等は、前項の規定にかかわらず、情報セキュリティ管理者が業務上特に必要と認める場合は、設定の変更及び周辺機器の増設を行うことができる。
4 職員等は、ネットワーク機器の設定を変更してはならない。
(職員によるコンピュータウイルス対策)
第19条 職員等は、端末へのコンピュータウイルス感染を防止するため、次に掲げる事項を遵守しなければならない。
(1) 記録媒体、電子メール等によりデータ又はソフトウェアを外部から取り入れる場合又は外部にデータを送付する場合は、必ずコンピュータウイルスチェックを行うこと。
(2) 情報ネットワーク管理者が提供するコンピュータウイルスに関する情報及び指導を常に確認し、その情報及び指導に従い必要な措置を講じること。
(3) ウイルスチェック用ソフトウエア及び情報は、常に最新なものに保つこと。
(4) 電子メールにおいて差出人が不明なもの又は不自然に添付されたファイルがあるものは、直ちに削除すること。
(5) コンピュータウイルスが発見された場合は、第47条の規定により迅速かつ円滑に対処すること。
(離席時の端末設定)
第20条 職員等は、情報漏えい及び不正操作を防止するため、離席するときは、パスワード入力が必要な画面に戻す等、情報システムの業務内容及び機能に応じて適切な対策を講じなければならない。
第2節 情報セキュリティに関する啓発及び周知
(情報セキュリティに関する啓発及び周知)
第21条 最高情報統括責任者は、職員等に対し、情報セキュリティについての啓発を行わなければならない。
2 情報セキュリティ管理者は、所属する職員等に対して、情報セキュリティに関する周知を行い、その徹底を図らなければならない。
(外部委託事業者に対する指導)
第22条 情報セキュリティ管理者は、外部委託事業者等に情報資産を取り扱わせる場合は、規則、この要綱及び実施手順の内容を遵守させる等取扱いに関する適切な指導を行わなければならない。
第5章 物理的セキュリティ
第1節 執務室
(執務室等での管理)
第23条 執務等を行う場所(以下「執務室等」という。)の施設に関する警備、施錠等の物理的情報セキュリティ対策は、施設の管理責任者及び情報セキュリティ管理者が行わなければならない。
2 職員等は、第三者に情報を閲覧されることがないようにしなければならない。
3 職員等は、端末及び記録媒体について、第三者に使用されることがないよう管理しなければならない。
第2節 管理区域
(管理区域の設置)
第24条 職員等は、不正な侵入等から情報資産を保護するため、サーバ等の管理及び運用を行うための部屋(以下「電算室」という。)について、可能な限り次に掲げる措置を講じなければならない。
(1) 電算室は、外部からの侵入が容易にできないような管理区域としなければならないこと。
(2) 電算室から外部に通ずるドアは、必要最小限とし、施錠等によって許可されていない者の出入りを防止しなければならないこと。
(3) 電算室に立ち入る者は、入退日時、入退者、入退理由、作業内容等を入退室管理簿(様式第4号)に記載し入退すること。
(4) 電算室に立ち入る者には、名札又は身分証明書をよく見える位置に身につけさせること。
(5) 電算室へ職員以外の者が入退する場合には、職員が同行しなければならないこと。
第3節 機器に対する管理策
(機器の取付け等)
第25条 情報セキュリティ管理者は、機器を設置する場合には、それら機器の安定稼動を確保し、それら機器の損傷、配線の損傷及び物理的な不正アクセスを防止するため、可能な限り次に掲げる措置を講じなければならない。
(1) 瞬時電圧低下、電圧変動等の電力障害による誤動作及び停止からサーバ等を保護するための無停電電源装置類の設置
(2) ネットワークケーブル、電源ケーブル等は、傍受又は損傷等を受けることがないような措置
(3) サーバ等への耐震のための固定ベルトの取付け又はスタビライザ(転倒防止用ストッパ)類の取付け
(4) 重要情報を扱うサーバ等について、物理的な不正アクセスを防止するための施錠措置
(5) 情報システムの業務内容及び保有する情報の重要度に応じて、サーバ等の二重化又は磁気ディスクの二重化等の安定稼動措置
(6) 機器の搬入搬出をする際の職員による立会い
(機器の設置環境等)
第26条 情報セキュリティ管理者は、サーバ等を設置する場合には、機器の安定稼動環境を確保するため、次に掲げる措置を講じなければならない。
(1) 設置する機器に必要な空調能力を備えた空調設備の確保
(2) 設置する機器の運用及び保守のための作業スペースの確保
(3) 設置する機器に必要な電源及び電気容量の確保
(電算室以外でのサーバ等の設置)
第27条 情報セキュリティ管理者は、第24条に規定する電算室以外にサーバ等を設置する場合には、設置場所における情報セキュリティ対策について次に掲げる事項について調査し、情報ネットワーク管理者と協議のうえ、当該設置場所について最高情報統括責任者の許可を得なければならない。
(1) 地震・火災などに対する対策は、なされているか。
(2) 電源に対する対策(停電対策等)は、なされているか。
(3) 適切な空調は、なされているか。
(4) 権限のない者が容易にアクセスできないようになっているか。
(5) 重要情報が含まれる場合、情報の漏えい対策は、なされているか。
(6) 障害発生を検知する対策は、なされているか。
(7) 職員が運用状況を確認することができるか。
(8) ネットワークを使用する場合、ネットワークの安全性は、確保されているか。
第4節 媒体の取扱い及び管理
(記録媒体の管理)
第28条 職員等は、重要情報の盗用、漏えい、紛失、破損等を防止するため、記録媒体について、次に掲げる項目を遵守し、適切な管理を行わなければならない。
(1) 記録媒体の特性を踏まえて、磁気、熱、光等に影響されない場所へ保管すること。
(2) 重要情報が記録された記録媒体をできる限り施錠可能な場所へ保管すること。
(3) 最終的に確定した情報を記録した記録媒体は、書込み禁止措置を行ったうえで保管すること。
(4) 記録媒体を再利用する場合は、必要のない既に記録されている情報を消去すること。
(記録媒体の廃棄)
第29条 職員等は、重要情報を記録した記録媒体を廃棄するときには、情報の漏えいを防止するため、情報ネットワーク管理者及び情報セキュリティ管理者の許可を得ることとし、記録媒体処理簿(様式第5号)に記載するとともに、物理的に破壊する等情報を復元できないように対処したうえで廃棄しなければならない。
(出力物の管理)
第30条 職員等は、情報システムにおける情報が記載された紙等のうち、重要情報が記載されたものについては、情報の盗用、漏えい等を防止するため、次に掲げる項目を遵守し、厳重に管理しなければならない。
(1) 施錠可能な場所に保管すること。
(2) 廃棄する場合は、細断、焼却等の方法により、内容が確認できないようにすること。
(外部への記録媒体及び機器の持ち出し)
第31条 職員等は、重要情報の盗用、漏えい、紛失、破損等を防止するため、記録媒体及び機器を外部に持ち出してはならない。
2 前項の規定にかかわらず、職員等が第10条第3項ただし書の規定により重要情報を含む記録媒体若しくは機器を外部に持ち出し、又は外部の者へ送付するときは、情報セキュリティ管理者の許可を得なければならない。なかでも、重要情報を外部に持ち出し、又は外部の者へ送付する場合には、情報ネットワーク管理者及び情報セキュリティ管理者の許可を得ることとし、記録媒体処理簿(様式第5号)に記載するとともに、持ち出した記録媒体又は機器を厳重に管理しなければならない。
3 職員等は、外部に持ち出した記録媒体又は機器を紛失したときは、直ちに第56条に規定するとおり対処しなければならない。
第6章 技術的対策及び運用管理
第1節 サーバ等に関する情報セキュリティ対策
(アクセス制御)
第32条 情報ネットワーク管理者は、情報の盗用及び漏えい並びに不正なアクセス等を防止するため、所管するサーバ等のアクセス権限を明確にし、アクセス権限に基づくアクセス制御を行わなければならない。
(管理者権限)
第33条 情報ネットワーク管理者は、サーバ等の不正な使用、情報の盗用、漏えい等を防止するため、サーバ等の管理者権限を必要最小限の職員等に与え、管理者権限によるサーバ等へのアクセスを必要最小限とするよう指導するものとする。
(利用者ID等の管理)
第34条 情報ネットワーク管理者は、利用者の登録、変更、抹消、情報の管理、異動や町外への出向等の職員等及び退職者IDの取扱い等については、定められた方法に従って適切に管理し、サーバ等へのログインに関して、不正なログインを防止するため、利用者IDの設定及びパスワードの設定等の対策を講ずるものとする。
2 必要な利用者登録及び変更は、情報ネットワーク管理者に対する申請により行うものとする。
(アクセス記録等の取得)
第35条 情報ネットワーク管理者は、情報システムの不正な使用、改ざん等を防止するため、必要に応じて情報システムにおけるアクセス記録等の取得及び管理を行うものとする。
(システム管理の記録及び作業の確認)
第36条 情報ネットワーク管理者及び情報セキュリティ管理者は、所管システムにおいて行ったシステム変更等の処理について、必要に応じ作業記録を作成し、作業記録は、適切に管理を行うものとする。
(障害記録)
第37条 情報ネットワーク管理者及び情報セキュリティ管理者は、情報システムの障害に対する処理について、障害の発見及び発生の日時、障害の発生箇所、障害の種別(ハードウェア障害・ソフトウェア障害・その他)、障害の内容、障害の原因、被害の範囲、障害の対応内容、復旧の日時、再発防止の手順等を障害の実状に合わせて体系的に記録し、これを必要なときに活用できるよう管理を行うものとする。
(バックアップ)
第38条 情報ネットワーク管理者及び情報セキュリティ管理者は、サーバ等に記録された情報について、障害、破損等に備えて日次、週次、月次、情報更新時等情報システムの業務内容及び保有する情報の重要度に応じ、定期的に必要なバックアップを行わなければならない。
(情報システムの監視)
第39条 情報ネットワーク管理者及び情報セキュリティ管理者は、情報セキュリティに関する事案を検知するため、必要に応じて、サーバ等情報システムの稼動状態の監視を行い、監視により得られた結果は、安全な場所に保管しなければならない。
第2節 端末に関する情報セキュリティ対策
(標準ソフトウェア)
第40条 情報ネットワーク管理者は、端末の誤動作、コンピュータウイルス感染等を防止するため、端末において利用するソフトウェアを定めるものとする。
第3節 ネットワークに関する情報セキュリティ対策
(ネットワークの通信制御)
第41条 情報セキュリティ管理者は、サーバ等及びネットワーク機器における不正使用を防止するため、ネットワークに関する通信制御を情報ネットワーク管理者と協議のうえ、行わなければならない。
(ネットワークの安全性確保)
第42条 情報ネットワーク管理者は、校内LANについて情報を安全かつ確実に伝送するための対策を講じなければならない。
(校内LANへの接続)
第43条 情報セキュリティ管理者は、校内LANにサーバ等、端末、ネットワーク機器等を接続する場合、事前に校内LAN機器接続許可申請書(様式第6号)により情報ネットワーク管理者の許可を得なければならない。
(校内LANの情報システム利用)
第44条 情報セキュリティ管理者は、校内LANを利用して新たな情報システムを開発又は導入しようとするときは、事前に情報ネットワーク管理者と協議しなければならない。
(外部との接続)
第45条 情報セキュリティ管理者は、校内LAN、サーバ等に外部からアクセスする仕組みを構築する場合、教育委員会等が管理する区域から専用回線又はインターネット等を通じて外部に設置した情報システムにアクセスする仕組みを構築する場合又は校内LAN以外(以下「外部ネットワーク」という。)との接続を行う場合には、情報セキュリティ技術面について情報ネットワーク管理者と協議をしたうえで、最高情報統括責任者及び情報ネットワーク管理者の許可を得なければならない。
2 情報セキュリティ管理者は、外部ネットワークとの接続を行った場合には、情報ネットワーク管理者と協議のうえ、適切な情報セキュリティ対策及び運用管理を行わなければならない。
(無線ネットワークの使用)
第46条 情報セキュリティ管理者は、無線ネットワークを使用する場合には、事前に情報ネットワーク管理者の許可を得なければならない。
2 情報セキュリティ管理者は、無線ネットワークの使用において、接続する端末及び利用者の認証並びに通信内容の高度な暗号化を確実に行わなければならない。
第4節 コンピュータウイルス対策
(情報セキュリティ管理者によるコンピュータウイルス対策)
第47条 情報セキュリティ管理者は、コンピュータウイルスによる被害を防止するため、所管する情報システムにおけるコンピュータウイルス対策に関し、次に掲げる事項を実施しなければならない。
(1) コンピュータウイルス対策の実施状況を情報ネットワーク管理者の求めに応じて報告すること。
(2) サーバ等及び端末におけるコンピュータウイルスチェックの実施状況を確認すること。
(3) コンピュータウイルスチェックのためのパターンファイルは、常に最新のものに保つこと。
(4) コンピュータウイルスが発見された場合は、第56条に規定するとおり対処すること。
(5) 職員等に対し、コンピュータウイルス対策に関する啓発を行うこと。
第7章 情報システムの開発、導入及び保守
(情報システムの調達)
第48条 情報セキュリティ管理者は、情報システムを調達する場合には、調達に関する仕様書類の記載内容が情報セキュリティを確保するうえで問題にならないよう留意しなければならない。
2 情報ネットワーク管理者及び情報セキュリティ管理者は、機器及びソフトウェアを調達する場合には、当該機器及びソフトウェアが情報セキュリティを確保するうえで問題にならないかどうかを確認しなければならない。
(仕様書類の管理)
第49条 情報セキュリティ管理者は、情報システムへの不正なアクセス等を防止するため、所管する情報システムに関するシステム設計書、プログラム説明書、操作手引書等の仕様書類を適切に管理しなければならない。
2 情報セキュリティ管理者は、所管する重要な情報システムの追加、変更、廃棄等を行った場合には、仕様書類を最新に更新し、必要に応じて履歴を管理するものとする。また、その内容を情報ネットワーク管理者へ報告しなければならない。
(情報システムの開発、導入及び保守)
第50条 情報セキュリティ管理者は、情報システムの開発、導入及び保守における事故並びに不正行為対策のため、次に掲げる事項を遵守しなければならない。
(1) 情報システムの開発、導入及び保守のシステム管理担当者を必要に応じ指名すること。
(2) 情報システムの開発、導入及び保守の作業者及び作業範囲を明確にすること。
(3) 情報システムの開発、導入及び保守に関する作業手順を明確にすること。
(4) 開発、導入する情報システムは、本番運用している情報システムの正常稼動に影響を及ぼさない措置を講じること。
(5) 開発、導入及び保守を行う場合、情報セキュリティ上の問題となるおそれがあるソフトウェアを使用しないこと。
(6) 開発、導入及び保守の際のアクセス制限を明確にするとともに、使用した利用者ID及びパスワードは、不要となった時点で速やかに削除すること。
(7) 機器の搬出入を管理すること。
(8) 開発、導入及び保守の記録をとること。
(9) マニュアル及び試験データは、定められた場所に保管すること。
(10) 開発及び導入した情報システムは、十分な試験を行うこと。
(11) 試験データ及びその結果は、情報ネットワーク管理者へ報告すること。
(12) 機器等については、適切な保守を行い、障害に備えること。
(ソフトウェアの保守及び更新)
第51条 情報セキュリティ管理者は、情報セキュリティに影響を及ぼすソフトウェアの不具合について修正等を行う場合には、情報システムに影響を与えないかどうかを調査したうえで、速やかに必要な保守又は修正プログラムの適用によるソフトウェアの更新を実施しなければならない。
(機器の修理、廃棄及び返却)
第52条 情報セキュリティ管理者は、機器を修理及び廃棄する場合並びに借用した機器を返却する場合には、重要情報の盗用及び漏えいを防止するため、機器に保存されている情報の消去等を行い、当該情報が復元不可能な状態にしなければならない。ただし、当該契約において守秘義務及び情報セキュリティ対策について明記されている場合は、この限りではない。
第8章 外部委託
(委託契約書への記載事項)
第53条 情報セキュリティ管理者は、情報システムの開発、運用、保守等を外部委託事業者に委託する場合には、委託に係る契約書に次に掲げる事項を必要に応じて明記しなければならない。
(1) 規則及びこの要綱の遵守に関する事項
(2) 業務上知り得た情報の守秘義務に関する事項
(3) 情報及び関連資料の第三者への提供の禁止並びに目的外の使用の禁止に関する事項
(4) 情報及び関連資料の取扱者の限定並びに複写及び複製の禁止並びに厳重な保管及び返還に関する事項
(5) 情報及び関連資料の搬送に関する事項
(6) 記録媒体及び端末の取扱いに関する事項
(7) 従業員に対する情報セキュリティ教育の実施に関する事項
(8) 事故発生時の報告義務、履行状況の報告及び立入調査に応ずる義務
(9) 知的財産権の保護及び成果物の著作権の帰属に関する事項
(10) 契約に違反した場合における即時の返却義務及び契約解除時の措置
(11) 契約に違反した場合における損害賠償に関する事項
(外部委託事業者の管理状況等の調査)
第54条 情報セキュリティ管理者は、委託契約履行中の外部委託事業者に対し、必要に応じて当該委託に係る情報セキュリティ対策の実施状況について調査するものとする。
第9章 情報セキュリティに関する事案への対応
第1節 情報セキュリティに関する情報の収集
(情報セキュリティに関する情報の収集)
第55条 情報ネットワーク管理者は、情報セキュリティに関する事案が発生した場合に迅速かつ円滑に対処するため、情報セキュリティ技術の向上及び情報セキュリティに関する事案発生時の対応方法等に関する情報について、収集を行うものとする。
2 情報ネットワーク管理者は、緊急度の高い情報又は職員等にとって必要な情報は、速やかに職員等に周知するものとする。
3 システム管理担当者は、前項に規定する情報のほか担当する情報システムに関する情報収集に努め、適正な情報セキュリティ対策に役立てるものとする。
第2節 情報セキュリティに関する事案への対応
(情報セキュリティに関する事案への対応)
第56条 職員等は、情報セキュリティに関する重要な事案が発生した場合は、報告、証拠保全、被害拡大の防止、復旧等の必要な措置を迅速かつ円滑に実施し、再発防止の措置を講じるため、次に定める手順により対応しなければならない。
(1) 情報セキュリティに関する事案を認めた者は、事案の発生時間、発生箇所、発生内容、想定される原因、被害の範囲等を把握して、直ちに情報セキュリティ管理者に報告する。また、事案報告書(様式第7号)に記載する。
(2) 前号の報告を受けた情報セキュリティ管理者は、発生した情報セキュリティに関する事案に対して証拠保全、被害拡散防止等必要な対応を行うとともに、情報ネットワーク管理者に報告する。
(3) 前号の報告を受けた情報ネットワーク管理者は、当該事案にかかわる校内LANへの被害拡散防止、復旧、証拠保全等の必要な措置並びに情報セキュリティ管理者への情報システム停止、利用停止等の必要な指示を行うとともに、事案のレベルに応じて、最高情報統括責任者に報告する。
(4) 前号の報告を受けた最高情報統括責任者は、事案のレベル及び必要性に応じて、関係機関に情報セキュリティに関する事案の報告を行う。
(5) 情報セキュリティ管理者は、情報ネットワーク管理者の指示に基づき、当該事案に係る再発防止の暫定措置を実施した後、情報システムを復旧する。
(6) 情報セキュリティ管理者は、当該事案の発生原因、対応方法、被害状況を分析し、必要に応じて情報ネットワーク管理者と協議のうえ、再発防止策を作成し、情報ネットワーク管理者及び最高情報統括責任者に報告し、その承認を得る。
2 最高情報統括責任者は、情報セキュリティに関する事案の発生に備え、町全体に係る緊急時対応計画及び緊急時連絡網を整備しなければならない。
3 情報セキュリティ管理者は、所管する情報システム等に係る緊急時対応計画及び緊急時連絡網を必要に応じて整備しなければならない。
(情報セキュリティに関する事案の原因に対する警告)
第57条 情報ネットワーク管理者は、職員等が情報システムを業務目的以外で使用した場合には、情報セキュリティ管理者に通知し、適切な措置を求めなければならない。この場合において、改善されない場合には、使用を停止させ、又ははく奪することができる。
2 最高情報統括責任者は、発生した情報セキュリティに関する事案の原因となる情報システム、職員等については、その所管する情報セキュリティ管理者、職員等に対して、注意及び警告を発することができるものとする。また、悪質な場合は、刑事告発の対象とする。
第10章 評価及び見直し
(監査)
第58条 情報ネットワーク管理者は、ネットワーク及び情報システムの調査又は監査を定期的に行わなければならない。
2 情報ネットワーク管理者は、前項の調査又は監査の結果、是正の必要がある情報システムを所管する情報セキュリティ管理者に対して、改善点を指摘するものとする。
3 前項の規定による指摘を受けた情報セキュリティ管理者は、速やかに指摘事項の改善に努めるものとする。
(点検)
第59条 情報セキュリティ管理者は、情報セキュリティ対策が適切に行われていることを確認するため、所管する情報システムの運用状況について点検を行うものとする。
(実施手順の見直し)
第60条 最高情報統括責任者は、調査又は監査、点検の結果等を踏まえて規則及びこの要綱の実効性を評価し、見直しが必要な場合は、速やかに改正しなければならない。
第11章 雑則
(整備)
第61条 この要綱に基づく実施手順又は具体的な対策については、各情報資産の運用状況等に合わせて検討を行い、情報システムごとに必要なものから速やかに整備するものとする。
附則
この訓令は、令和3年4月1日から施行する。
附則(令和4年3月31日安平町教育委員会訓令第1号)
(施行期日)
1 この訓令は、令和4年4月1日から施行する。
(経過措置)
2 この訓令の施行の際現にこの訓令による改正前の訓令の規定に基づいて作成されている用紙がある場合においては、この訓令による改正後の訓令の規定にかかわらず、当分の間、必要な調整をして使用することを妨げない。
